<table>
<thead>
<tr>
<th style="text-align:center">lib</th>
<th style="text-align:left">version</th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align:center">Terraform</td>
<td style="text-align:left">1.4.6</td>
</tr>
<tr>
<td style="text-align:center">hashicorp/aws</td>
<td style="text-align:left">4.67.0</td>
</tr>
</tbody>
</table>
2023/04 より <a href="https://aws.amazon.com/jp/about-aws/whats-new/2022/12/amazon-s3-automatically-enable-block-public-access-disable-access-control-lists-buckets-april-2023/" target="_blank" rel="nofollow noopener noreferrer">AWS S3 のパブリックアクセスブロックが自動で有効になった</a>んだけども、その影響で Terraform で設定するときにもひと手間増えたので備忘録としてメモ。
<h2 id="%E3%81%BE%E3%81%9A%E3%81%AF%E4%BB%8A%E3%81%BE%E3%81%A7%E9%80%9A%E3%82%8A%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%9A%E3%81%AF%E4%BB%8A%E3%81%BE%E3%81%A7%E9%80%9A%E3%82%8A%E3%81%AB%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> まずは今まで通りにやってみる</h2>
だいぶ端折ってるけども、今回に影響がある部分だけを抜粋したのがコレ。
<div class="code-block-container">
<div class="code-block-filename-container"> main.tf</div>
<pre class="language-hcl"><code class="language-hcl">provider "aws" {}

# S3 バケットを作成
# see: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/s3_bucket
resource "aws_s3_bucket" "main" {
 bucket = "fixed-public-access-block"
}

# バケットポリシーの内容を定義
# see: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/data-sources/iam_policy_document
data "aws_iam_policy_document" "main" {
 statement {
 principals {
 type = "AWS"
 identifiers = ["*"]
 }
 actions = [
 "s3:GetObject",
 ]
 resources = [
 aws_s3_bucket.main.arn,
 "${aws_s3_bucket.main.arn}/*",
 ]
 }
}

# バケットポリシーをバケットに紐づける
# see: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/s3_bucket_policy
resource "aws_s3_bucket_policy" "main" {
 bucket = aws_s3_bucket.main.id
 policy = data.aws_iam_policy_document.main.json
}
</code></pre>
</div>これを apply してみる。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform apply
 
 (snip)
 
aws_s3_bucket.main: Creating...
aws_s3_bucket.main: Creation complete after 2s [id=fixed-public-access-block]
data.aws_iam_policy_document.main: Reading...
data.aws_iam_policy_document.main: Read complete after 0s [id=1693531708]
aws_s3_bucket_policy.main: Creating...
╷
│ Error: Error putting S3 policy: AccessDenied: Access Denied
│ status code: 403, request id: XD8AXG19HB5W36PR, host id: yOszjy8Dl7jr+snu1TkZ4JHhVZSypsyYwYkl6YO3rI8oHKUqCeDWZZptqyb5Z86sMgYu/QVGgQcizL0N+Ab28w==
│
│ with aws_s3_bucket_policy.main,
│ on main.tf line 30, in resource "aws_s3_bucket_policy" "main":
│ 30: resource "aws_s3_bucket_policy" "main" {
│
╵
</code></pre></div>すると、以前までは問題なかったトコロで Access Denied なエラーが返ってくる。 
これが今回の S3 に入った変更の影響で、バケットやオブジェクトへのパブリックアクセスを含むポリシーを設定しようとしてるので拒否られてしまっている。
<h2 id="%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> パブリックアクセスブロックを設定してみる</h2>
ホントは厳密に設定するのが良いんだけども、今回は一旦まるっと off にした設定を追加。
<div class="code-block-container">
<div class="code-block-filename-container"> main.tf</div>
<pre class="language-hcl"><code class="language-hcl">(snip)

# see: https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/s3_bucket_public_access_block
resource "aws_s3_bucket_public_access_block" "main" {
 bucket = aws_s3_bucket.main.id
 block_public_acls = false
 block_public_policy = false
 ignore_public_acls = false
 restrict_public_buckets = false
}
</code></pre>
</div>これで apply してみる。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform apply

(snip)

aws_s3_bucket_public_access_block.main: Creating...
aws_s3_bucket_policy.main: Creating...
aws_s3_bucket_public_access_block.main: Creation complete after 1s [id=fixed-public-access-block]
╷
│ Error: Error putting S3 policy: AccessDenied: Access Denied
│ status code: 403, request id: SQKDG5269Q8Q3QHE, host id: dJAxDB2SXP2EsD3uQv7WKQead6zzv8XCuk4js6fzBU4CwenSihu+ykbxzcy/XA8p1j5GDk5kWlA=
│
│ with aws_s3_bucket_policy.main,
│ on main.tf line 30, in resource "aws_s3_bucket_policy" "main":
│ 30: resource "aws_s3_bucket_policy" "main" {
│
╵
</code></pre></div>あれ？なぜかまた拒否られた。 
上のログを見るに <code>aws_s3_bucket_public_access_block</code> の設定は上手くいってるっぽいし、コンソールで確認してみたらちゃんと反映されていたので、どうやらパブリックアクセスブロックの設定する前にポリシー設定しようとしてしまってるっぽい。
試しに何も設定を変えずにもう一度 apply してみる。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform apply

(snip)

aws_s3_bucket_policy.main: Creating...
aws_s3_bucket_policy.main: Creation complete after 1s [id=fixed-public-access-block]

Apply complete! Resources: 1 added, 0 changed, 0 destroyed.
</code></pre></div>上手く通った。ってことはリソースを実行する順番ミスってるのね。
<h2 id="%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE%E5%AE%9F%E8%A1%8C%E9%A0%86%E5%BA%8F%E3%82%92%E6%8C%87%E5%AE%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE%E5%AE%9F%E8%A1%8C%E9%A0%86%E5%BA%8F%E3%82%92%E6%8C%87%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> リソースの実行順序を指定する</h2>
一旦今までの作業をなかったことにするために destroy する。
<aside class="msg alert">!<div class="msg-content">
これは本当にバケットを削除してしまうので、消えたらまずい環境では実行しないようにしてください。
</div></aside>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform destroy

(snip)

aws_s3_bucket_public_access_block.main: Destroying... [id=fixed-public-access-block]
aws_s3_bucket_policy.main: Destroying... [id=fixed-public-access-block]
aws_s3_bucket_policy.main: Destruction complete after 1s
aws_s3_bucket_public_access_block.main: Destruction complete after 1s
aws_s3_bucket.main: Destroying... [id=fixed-public-access-block]
aws_s3_bucket.main: Destruction complete after 1s

Destroy complete! Resources: 3 destroyed.
</code></pre></div>次に <code>depends_on</code> を使って <code>aws_s3_bucket_policy</code> の実行を　<code>aws_s3_bucket_public_access_block</code> の後になるように指定する。
<div class="code-block-container">
<div class="code-block-filename-container"> main.tf</div>
<pre class="diff-highlight language-diff-hcl"><code class="diff-highlight language-diff-hcl">@@ -30,6 +30,10 @@ data "aws_iam_policy_document" "main" {
 resource "aws_s3_bucket_policy" "main" {
 bucket = aws_s3_bucket.main.id
 policy = data.aws_iam_policy_document.main.json
+
+ depends_on = [
+ aws_s3_bucket_public_access_block.main,
+ ]
 }
</code></pre>
</div>これを apply してみる。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ terraform apply

(snip)

aws_s3_bucket.main: Creating...
aws_s3_bucket.main: Creation complete after 2s [id=fixed-public-access-block]
data.aws_iam_policy_document.main: Reading...
aws_s3_bucket_public_access_block.main: Creating...
data.aws_iam_policy_document.main: Read complete after 0s [id=1693531708]
aws_s3_bucket_public_access_block.main: Creation complete after 1s [id=fixed-public-access-block]
aws_s3_bucket_policy.main: Creating...
aws_s3_bucket_policy.main: Creation complete after 0s [id=fixed-public-access-block]

Apply complete! Resources: 3 added, 0 changed, 0 destroyed.
</code></pre></div>全部うまく通ったし、ログを見てもちゃんと　<code>aws_s3_bucket_public_access_block</code> が完了するのを待ってから <code>aws_s3_bucket_policy</code> が実行されてる。めでたしめでたし。
<h2 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h2>
<code>aws_s3_bucket_public_access_block</code> まで一通り設定を書いた状態から　<code>depends_on</code> を消した状態で実行してみたら、それはエラーにならずにちゃんと通った。リソースそれぞれの実行時間の影響なのかなんなのか？ 
それでも「書いて実行したらおしまい」とはいかず、メンテしていかないといけないのが　Terraform なので、 <code>depends_on</code> などで制御できる部分はめんどくさがらずに明記しておくのが良いと思う。

Terraform で AWS S3 public access block に対応する

まずは今まで通りにやってみる

パブリックアクセスブロックを設定してみる

リソースの実行順序を指定する

Discussion